Coinbase, 30 Kasım tarihli bir blog gönderisinde, son Uber veri ihlali kararına yanıt olarak hata ödül programı politikalarını netleştirmeye çalıştı.

Şirket, güvenlik sorunlarının “sorumlu” bir şekilde açıklanmasını memnuniyetle karşıladığını, ancak bu süreci kötüye kullanan kullanıcıların hata ödülleri almayacağını belirtti:

“Bütün bunlardaki anahtar kelime ‘sorumluluk’. Yakın tarihli Uber kararının ardından, sektörde hata ödülü gönderimlerinin şantaj girişimlerine dönüşebileceğine dair büyük endişeler var. Coinbase’de, […] Yasaların doğru tarafında kalmak için böcek ödül programımızı nasıl yürüttüğümüz konusunda çok düşündük.”

HackerOne’daki resmi Coinbase hata ödülü raporlama sayfası

Coinbase’in bahsettiği iktidar 5 Ekim’de yayınlandı. Washington Post’un haberine göre, eski Uber güvenlik şefi Joe Sullivan, bir veri ihlaline ilişkin kanıtları örtbas etmek için saldırganlarla işbirliği yapmaktan suçlu bulundu. Sullivan başlangıçta saldırganların ihlali bir böcek ödülü olarak sunduğunu ve şirketin onlara böcek ödülü olarak ödeme yaptığını iddia etti.

Teknoloji şirketleri, beyaz şapkalı bilgisayar korsanlarını güvenlik açıklarını bulmaya ve bildirmeye teşvik etmek için genellikle hata ödüllerini kullanır. Ancak Sullivan’ın kararı, bir böcek ödül programının yasayı ihlal etmeden bilgisayar korsanlarına ödül vermede ne kadar ileri gidebileceği sorusunu gündeme getirdi.

Coinbase yaptığı gönderide, şirketin yasal olarak para çekmesini engelleyecek suç eylemleri işlediğini iddia eden bazı bug bounty katılımcılarıyla karşılaştığını açıkladı.

Örneğin, bir katılımcı ekibe “306 milyon kullanıcı verisini tamamen temizlediklerini” ve yeni cihazlarda 48 saatlik beklemeyi atlamak için bir “geçici çözüm” olduğunu söyleyen çok sayıda e-posta gönderdi. Coinbase’e göre, bu kişinin böyle bir bilgiye sahip olması, müşteri verilerine “iyi niyet” veya “kazara” olarak değerlendirilebilecek durumların ötesinde eriştiği anlamına gelir. Böyle bir durumda Coinbase primi ödeyemeyecekti.

Bu özel durumda Coinbase, katılımcının yanlış bir iddiada bulunduğuna inandıklarını söyledi. Yarışmacı, iddianın doğrulanmasına izin verecek hiçbir bilgi sağlamadı, bu nedenle ekip ödül talebini görmezden geldi. Ancak iddiada bulunan kişi doğruyu söylemiş olsa bile, kendisine ödül verilmesi yasa dışı olurdu.

Coinbase ayrıca tehditlerin veya diğer şantaj girişimlerinin bir hata ödülü ödemesiyle sonuçlanmayacağını da vurguladı:

“En önemlisi, bir hata ödülü gönderimi asla tehdit veya şantaj girişimi içermemelidir. Her zaman yasal bulgular için prim ödemeye hazırız. Fidye talepleri tamamen farklı bir konu.”

Böcek ödüllerini ödeme uygulaması bazen tartışmalıdır. Eleştirmenler, kötü niyetli davranışları teşvik edebileceğini söylerken, savunanlar genellikle güvenlik açıklarının güvenli bir şekilde keşfedilmesine izin verdiğini söylüyor. 19 Ekim’de bir saldırgan, Moola Market DeFi uygulamasından 9 milyon dolar değerinde kripto para birimini ele geçirdi. Ancak geliştirici, saldırgana böcek ödülü olarak 500.000 $ vermeyi teklif ettiğinde, saldırgan diğer 8,5 milyon $’ı iade etti.

Eylül ayında merkezi olmayan borsa KyberSwap’te benzer bir saldırı meydana geldi. Bu durumda, saldırganlar 265.000 $ çaldı ve geliştiriciler geri kalanını iade etmeleri halinde fonların %15’ini ellerinde tutmayı teklif ettiler. Davadaki şüpheliler daha sonra tespit edildi, ancak fonlar iade edilmedi ve bilgisayar korsanlarının hala kaçak olduğu görülüyor.